 Abonnez-vous aux flux RSS  |
Plus une semaine sans que l'industrie informatique ne bruisse du terme « conformité ». La signification du mot en paraît brouillée. SAP a dévoilé une série de composants de sa nouvelle gamme Gouvernance, Risques et Conformité, orientés vers le contrôle des processus de fonctionnement (Business Process) et l'analyse des risques. L'éditeur Coda a lancé un progiciel pour la mise en conformité des entreprises avec la loi de sécurité financière (LSF).
Chez les éditeurs de sécurité, l'agitation est également importante : Symantec avec Control Compliance Suite, McAfee avec Preventsys, BorderWare avec Infinity ou encore IS Decisions avec FileAudit tentent tous au même moment d'étendre la gestion de la sécurité à la conformité. « La conformité s'applique à des domaines variés. Pour l'entreprise, il peut s'agir d'être conforme à des lois comme Sarbanes-Oxley et la LSF, de respecter des standards de fonctionnement, comme les normes ISO ou le référentiel Itil, ou encore de s'assurer que sa politique interne d'organisation est bien appliquée », précise Marc Bernis, responsable avant-vente de HP Software France.
HP commercialise depuis le début de l'année des modules de gestion de la conformité pour OpenView. Pour François Amigorena, PDG d'IS Decisions : « Les obligations des entreprises se renforcent, mais il faut bien voir qu'elles ont deux aspects, réglementaire et méthodologique, qu'il faut différencier. » Il n'existe donc pas une, mais des conformités, associées sans former un tout homogène, ce qui explique la diversité d'approche des éditeurs.
Auditer, interdire, corriger
Pour les petites et moyennes entreprises, le plus intéressant est l'apparition d'une boîte à outils pour gérer la conformité au niveau de l'infrastructure informatique. L'éventail des solutions est aussi large que le nombre de points-clés à valider dans l'architecture.
Le logiciel Control Compliance Suite (CCS) de Symantec, par exemple, issu du rachat de BindView en janvier 2006, collecte des données sur les serveurs Windows, Unix et Linux du réseau : comptes, répertoires, correctifs, droits d'accès, configuration... Il rassemble l'information dans une base de données et vérifie que la politique de sécurité définie par l'entreprise est bien respectée.
Dans le cas de Preventsys de McAfee (racheté en juillet 2006), « nous automatisons la vérification des politiques en centralisant les rapports d'audit des logiciels de supervision tiers », précise Michel Lavergne, directeur de la gestion des risques pour l'Europe chez McAfee.
Preventsys embarque aussi un module qui mesure le niveau de risque de l'entreprise et évalue le coût induit par l'indisponibilité d'une machine donnée, ce qui le rapproche de la gestion des risques, autre pan de la conformité lorsque l'entreprise se fixe des impératifs de disponibilité. FileAudit d'IS Decisions suit en permanence les accès aux données stockées sur un système : Qui s'y connecte ? A quel moment et à partir de quelle machine ? Au-delà de ces dispositifs qui assurent essentiellement des fonctions d'audit, la conformité peut consister à contrôler le contenu même des données.
BorderWare, avec son équipement Infinity, vérifie que l'information qui franchit le périmètre de l'entreprise y est autorisée (lire « BorderWare scrute tous les trafics »), et ce, quel que soit le protocole. La PME dispose ainsi d'un ensemble de solutions pour inscrire des exigences et des obligations dans le fonctionnement même de l'informatique et mettre en place un processus d'amélioration de la qualité.
Les outils de la gouvernance
A un plus haut niveau, on trouvera une classe d'outils de gestion de la conformité stratégique. Chez HP, OpenView Compliance Manager « est un outil d'aide à la conformité globale du système d'information avec des packs de rapports prédéfinis qui puisent des métriques dans les différents éléments du SI pour calculer des indicateurs et surveiller des points de contrôle de conformité », explique Marc Bernis.
Dans la même logique, mais avec une orientation métier, « GRC Process Control donne à l'entreprise les moyens de contrôler l'exécution d'un processus une fois qu'il a été décrit, de vérifier qu'il n'y a pas de faille dans le déroulement de la procédure en allant capter l'information où qu'elle se trouve », décrit Jean-Michel Franco, chargé du développement PGI et Business Intelligence Europe à SAP.
Il ne faut cependant pas se leurrer, ces logiciels avancés, qui demandent des déploiements lourds et une forte structuration des procédures d'activité sont, pour l'heure, réservés aux grands comptes et à quelques domaines d'activité particuliers : la santé, certains sous-traitants gouvernementaux, la finance... « Il faut relativiser les besoins en conformité, qui ne sont pas les mêmes dans une multinationale ou dans une PME, pour laquelle les obligations sont relativement faibles », rappelle Éric Barbry, avocat.
Néanmoins, le poids croissant des cadres d'administration, comme Itil, des préoccupations, comme la protection des données personnelles, et l'importance des certifications ISO pour l'image des sociétés conduisent celles-ci à s'intéresser de plus près à la conformité.
L'industrie du stockage, directement concernée par la loi Sarbanes-Oxley et les impératifs qui en découlent pour le stockage des documents financiers des entreprises cotées et de leurs filiales, a déjà fait des efforts dans le sens de la conformité en mettant au point des systèmes capables de garantir la non-modification d'un document archivé et de protéger son intégrité. Dans le même ordre d'idée, plusieurs éditeurs proposent des outils pour effectuer un archivage des courriels basé sur des jeux de règles (mots-clés, expéditeur, type de message, etc.), qui permettent de se plier aux exigences des diverses réglementations. Mais dans ces deux cas, ce sont des lois contraignantes qui ont pressé le mouvement.
 |
 Cliquez ici pour agrandir l'image |
| Suite de l'article | ||
 |
Marc Blet (Intrinsec) : « nous préférons effectuer nos propres tests » | |
|
Eric Barbry (Alain Bensoussan) : « la France n'est pas en retard » | |
|
||||||
|
 |
|
Dossier spécial
|
|
|
Etes-vous prêts pour l'entreprise 2.0 ?
> Cet été, 01net. vous fait découvrir les avenirs possibles de votre quotidien au travail. Et vous demande votre opinion. |
 |
|
 |
|
 matériel Reportage au coeur d'un centre d'archivage gigantesque |
 système d'exploitation Plongée dans l'environnement Linux des députés |
 conversation high-tech Kiwi mail : l'archivage externalisé de la totalité de sa messagerie |
|
||||
 |
||||
 |
|
  |
Villes, départements et régions, retrouvez leurs dépenses et investissements informatiques et télécoms en partenariat avec Secteurpublic.fr Cette semaine
|
 |
Pour retrouver toute l'actualité des noms de domaine Cliquez ici
|
 |
|
|
|
 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Semaine du 9 au 15 juillet 2008
Le classement des hébergeurs sur serveur dédié reste inchangé D’une semaine sur l’autre, les cinq hébergeurs sur serveurs dédiés affichent des performances d’une stabilité impressionnante. En revanche, l’hébergement en environnement haute disponibilité connaît plus de variations... Environnement haute-disponibilité
Serveurs dédiés
01net.com, en partenariat avec  , mesure chaque semaine les performances des hébergeurs |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
|
Pour retrouver tout le test des opérateurs ToIPCliquez ici
|
|
 |
 |
|
| Abonnez-vous gratuitement ! | |
|
|
|
 |
|
 |
Des détails sensibles sur la mégafaille Internet diffusés par mégarde |
 |
|
|
La sécurité de millions de cartes à puce sans contact sérieusement remise en question |
|
|
|
La direction d'IBM ne veut toujours pas d'augmentations salariales générales, selon les syndicats |
|
|
|
Le PC goûte à la puissance nouvelle des puces graphiques |
|
|
|
Etes-vous prêts pour l'entreprise 2.0 ? |
|
|
| > tout le classement |
|
 |
|
Une école de management publie gratuitement ses cours sur InternetKeyyo casse les prix de la téléphonie sur IPMarketae, un site pour noter ses fournisseurs
|
|
écrire à l'auteur
imprimer
envoyer par mail
